Une équipe de chercheurs a décidé de s’atteler à la lutte contre les cyberattaques. Pour ce faire, elle est parvenue, lors d’un test, à pirater une ampoule connectée de la gamme Philips Hue qui sert normalement à contrôler et personnaliser l’éclairage de son domicile. Une vidéo de l’expérience montre l’ampleur des possibilités offertes aux éventuels pirates d’objets connectés, d’autant que cet aspect est régulièrement mis de côté par les fabricants au profit d’autres fonctionnalités plus concurrentielles ; rendant les objets connectés encore plus vulnérables.
Des laboratoires de recherche, il en existe pour tous les domaines des nouvelles technologies. Les chercheurs Eyal Ronen du Weizmann Institue Technology (Israël), Colin O’Flynn de la Dalhousie University (Halifax, Canada) et l’expert en cryptologie Adi Shamir se sont quant à eux intéressés à la lutte contre les cyberattaques et particulièrement à destination des objets connectés. En guise d’expérience, ils ont décidé de pirater une ampoule connectée de la gamme Philips Hue. Elle sert normalement à contrôler et personnaliser l’éclairage de la maison à l’aide d’un système appelé ZigBee qui permet à toutes les ampoules d’un même réseau de communiquer entre elles.
L’ensemble du système d’éclairage des bureaux clignote de manière sauvage
Mission accomplie pour l’équipe de chercheurs, comme vous pourrez le constater dans la vidéo qui montre l’exploit réalisé sur l’étage d’un immeuble de Beer-Sheva, en Israël. On y voit l’ensemble du système d’éclairage des bureaux clignoter de manière sauvage, alors même qu’une seule ampoule connectée a été piratée initialement.
Le système piraté s’appelle ZigBee et il est utilisé pour relier l’ensemble des objets connectés de la maison
Pour arriver à ce résultat, Eyal Ronen et Colin O’Flynn ont réalisé une fausse mise à jour de l’application de l’objet connecté. Ils y ont ensuite intégré un logiciel malveillant pour l’envoyer à l’ampoule. Le programme a alors amené l’objet à attaquer toutes les autres ampoules de la maison, reliées à l’ampoule principale par le système ZigBee. Les utilisateurs d’objets connectés de la marque Philips peuvent s’inquiéter, d’autant que le système ZigBee en question est également utilisé pour le Logitech Harmony Ultimate, une sorte de télécommande qui permet de gérer à distance tous les objets connectés de la maison, en sus des ampoules ; favorisant une potentielle attaque globalisée sur l’ensemble d’un foyer.
Une ampoule connectée au WiFi sert de relai pour passer d’un réseau à l’autre
Pirater une ampoule n’a rien d’anodin. Une cyberattaque vise plus à voler les données personnelles récoltées par les objets connectés que s’amuser à changer l’éclairage d’une maison. De même, l’ampoule connectée Philips Hue est connectée au WiFi. « (Elle) servira de relai pour passer d’un réseau à un autre, a précisé Renaud Lifchitz, expert en cybersécurité. Il est intéressant de constater que nous sommes de plus en plus entourés d’objets connectés, sans en avoir conscience et que les répercussions d’un piratage s’inscrivent de plus en plus dans le monde réel ; d’autant plus quand les objets connectés se mettent à s’attaquer entre eux, comme dans le cas présent. »
« Cela démontre à quel point il est difficile d’assurer la sécurité de tels objets, ont précisé les chercheurs, même pour une grande entreprise qui a recours à des techniques standards de cryptographie pour protéger un produit à succès. »
Les aspects liés à la sécurité ralentissent la commercialisation de l’objet connecté
Cette expérience démontre donc l’ampleur des possibilités qui s’offrent aux hackers en tout genre ; d’autant que la course effrénée aux objets connectés conduit les entreprises, grands comptes comme petites startups, à négliger la sécurité de leurs produits au profit d’autres aspects plus concurrentiels sur le court terme : l’innovation en tant que telle, les fonctionnalités du produit ou son ergonomie. « Les industriels sont bien souvent pris dans une course à l’innovation, explique Renaud Lifchitz. Les aspects liés à la sécurité ralentissent la sortie du produit et représentent des coûts supplémentaires. »
La marque Philips, qui a été informée par les chercheurs, a demandé à ne pas médiatiser les résultats de l’expérience avant que le problème ne soit résolu. Un patch de sécurité est désormais disponible au téléchargement pour les utilisateurs d’une ampoule connectée Philips Hue. « Insuffisant », a rétorqué Eyal Ronen au magazine Le Figaro qui l’a interrogé à ce sujet. Le chercheur affirme pouvoir développer un nouveau logiciel malicieux pour le pirater à nouveau.
Commentaires récents